En el marco del Sistema de Gestión de Seguridad de la Información (SGSI) y en cumplimiento con lo establecido en la norma ISO/IEC 27001:2022, la organización VIAMATICA establece la presente Política de Clasificación de la Información, cuyo propósito es asegurar que todos los activos de información sean identificados, clasificados, protegidos y gestionados de acuerdo con su valor, sensibilidad y criticidad para la continuidad del negocio.

La información constituye un recurso esencial para la operación de la organización, por lo que debe recibir un nivel de protección adecuado frente a riesgos de divulgación no autorizada, alteración, pérdida o destrucción.  Para ello, se establece un esquema de clasificación que permitirá aplicar controles proporcionales según el impacto potencial que tendría un mal manejo de la información.

Toda la información que sea creada, recibida, procesada, almacenada o transmitida por la organización deberá ser clasificada en alguno de los siguientes niveles:

• Pública: Información que puede ser divulgada sin restricciones, cuya exposición no representa riesgos para la organización ni para terceros.
• Interna: Información destinada al uso interno del personal autorizado. Su divulgación externa no autorizada podría afectar la operación de la organización en grado leve.
• Confidencial: Información cuyo acceso está limitado a personal estrictamente autorizado. Su divulgación, modificación o pérdida podría ocasionar un impacto significativo en la operación, reputación o cumplimiento legal de la organización.

El proceso de clasificación será responsabilidad de los propietarios de la información, quienes deberán identificar el nivel de clasificación de acuerdo con los criterios establecidos y asegurar que la misma sea etiquetada y protegida conforme a su categoría. El personal de la organización deberá cumplir en todo momento con las disposiciones aquí definidas, utilizando la información únicamente para fines autorizados y garantizando su resguardo.

La Gerencia de Seguridad de la Información será responsable de revisar periódicamente la correcta aplicación de esta política, así como de promover la capacitación y concienciación del personal respecto a la clasificación y manejo de la información.

El incumplimiento de la presente política será considerado una falta grave y podrá dar lugar a medidas disciplinarias conforme a los reglamentos internos y la normativa vigente.

Esta política entra en vigencia a partir de su aprobación y será revisada al menos una vez al año o cuando se produzcan cambios significativos en la organización, la tecnología, el marco regulatorio o los riesgos asociados.